森德網站設計

資安情報站

BSI揭露2019下半年最新國際資安動態,資安與隱私保護成全球企業永續經營評比要點

引用iThome網站       文/羅正漢

 

資安新聞|數聯資安

 

在11月舉行的BSI國際資安標準管理年會上,該公司臺灣總經理蒲樹盛說明了最新的國際資訊,其中道瓊永續指數對於網路安全與隱私的看重,是企業邁向國際水準需關注的焦點,而國際資安標準的走向中,隱私保護管理ISO/IEC 27701也受矚目。

 

隨著網路攻擊風險威脅不斷,對於臺灣企業和組織而言,導入資安標準來落實資安,已經是管理面不可或缺的一大關鍵。在今年的英國標準協會(BSI)舉辦的國際資安標準年會上,他們揭露了2019年的國際資安現況觀察,以及資安隱私標準的新趨勢。
 

網路安全與隱私保護成企業永續經營指標之一

 

近年來,資安對於企業經營的重要性,不言而喻。在這次國際標準年會上,BSI臺灣總經理蒲樹盛指出,資安已成為企業永續經營重要指標,根據道瓊永續指數(DJSI)年度調查,對於資安與隱私保護的更加重視,就可以看出端倪。

 

道瓊永續指數是什麼?它是個永續經營的投資評比指標,由美國道瓊指數公司與瑞士資產管理公司RobecoSAM合作,每年在全球挑選3,500家企業參加評選,透過經濟、社會、環境這3大面向的問卷評比,檢視企業經營體質,今年臺灣有99家被邀請,最終共有23家企業入選,比去年多了2家。

 

與往年不同的是,蒲樹盛指出,在今年道瓊永續指數的問卷中,有一半以上的問題,是聚焦在資訊安全與個資隱私,值得企業持續關切。

 

事實上,這已經是我們第三次聽到蒲樹盛,提到道瓊永續指數與網路安全的關係,在9月我們進行NIST網路安全框架(CSF)報導的專訪,以及以NIST CSF為主題的CyberSec 101研討會上,他都強調了此事的重要性。

 

對於今年問卷增加網路安全和系統穩定性,以及隱私保護兩個題組。例如,公司對於IT系統故障與資安事件,是否能夠做出適當反應;以及公司在隱私政策的覆蓋範圍,並確保政策上具備有效實施的機制。BSI台灣分公司營運長謝君豪在後續的議程中,也提出說明。他認為,這樣的態勢其實相當合理,因為,若是企業的資安跟隱私保護做得不好,其實也就代表,企業無法善盡自己該做的責任,而這在整體經濟面上,可能會帶來衝擊。

 

無論如何,對於道瓊永續指數的評比,臺灣企業可視為自我體檢與衡量時的高標準。而從BSI的說明中,我們瞭解到,評比機構對資安管理與隱私保護的重視程度,將變得明確。

 

ISO/IEC 27001仍是基礎,並可透過NIST CSF強化

 

在這次大會中,另一個值得關注的焦點,是未來國際資安標準的走向。BSI也趁此機會,說明近期值得關注的各項趨勢,組織若要考量如何提升資安治理時,將可作為參考。

 

對於在國際網路安全標準的發展趨勢,謝君豪分析了相關現況。他先從世界經濟論壇(WEF)全球風險報告,從當中揭露的資安威脅談起--網路攻擊的威脅持續處於嚴峻的態勢,在國際三大區域東亞與太平洋、歐洲與北美,網路攻擊都是排在第一或第二。同時,在國際資安標準方面,近年在大數據、區塊鏈、物聯網、醫療裝置、自駕車與網路的安全方面,都出現許多正在制定的標準及指引,像是與大數據安全的ISO/IEC 27045,區塊鏈隱私與PII保護的ISO/DTR 23244,以及物聯網安全與隱私的ISO/IEC 27030等,然而,當中多屬於參考性質,不能驗證。

 

以現況而言,在網路安全與隱私保護方面,仍是企業主要關注面向。首先,在網路安全的管理優化上,謝君豪鼓勵企業,以ISO/IEC 27001安控措施作為基礎,並可參考NIST網路安全框架的要求,進行整體性優化,從識別、保護、偵測、回應與復原5大面向,做好必要的控管,下一步,再以提升資安治理成熟度為方向。

 

而在做完NIST CSF之後,下一步,他認為今年發布的Cyber Insurance資安保險ISO/IEC 27012的標準指引,將很有幫助,若企業要透過買保險來降低風險,當中提供了相當多實用的建議,即便產險公司要設計資安保險也能從中參考。不過,謝君豪也指出,資安保險在臺灣受重視程度不足,因為國內企業資安事件發生時,不論在是通報主管機關、告知客戶的落實,以及提供賠償服務方面,都與國外有很大差距。

 

今年資安標準新焦點是ISO/IEC 27701

 

關於隱私保護方面,蒲樹盛表示,現在全球132個國家有隱私保護法案,因此幾乎主要國家都有相關法案,以法律遵循的角度來看,企業勢必都要遵守,但是,要用哪一項標準來涵蓋這些法遵事項?今年新推出的ISO/IEC 27701,著重隱私資訊管理,就是焦點。

 

對於隱私保護標準的導入,謝君豪也具體說明。他指出,BS 10012最新版是最具參考的指標,原因在於,該標準針對蒐集、處理、利用方面,都有完整的保護,最符合GDPR的精神。若是企業覺得不足,他也建議可以參考其他的標準,包括針對資通訊系統隱私權框架保護的ISO/IEC 29100,以及ISO/IEC 27000系列,其中ISO/IEC 27701是重點。

 

根據謝君豪的說明,ISO/IEC 27701是ISO/IEC 27001,以及ISO/IEC 27002的擴展,並加上ISO/IEC 29100所設計出來的,能對應一些國際標準與指引。他強調,這項標準整合了參考用的內容,以及驗證用的要求,因此可以被驗證。

 

企業若要快速找出導入ISO/IEC 27701的重點,謝君豪建議,應研究其中的附錄A與附錄B,可作為企業在依循時的關鍵,這裡分別針對PII控制者與處理者,說明特定控制目標及控制措施。

 

他並說明,如果組織已經導入ISO/IEC 27001,後續再做必要強化時,會比較容易,因此,他分析了若要進一步做ISO/IEC 27701的導入或驗證時,必須關注的重點。例如,在ISO/IEC 27701的5.2與5.4條款中,就針對隱私保護管理有訂定額外要求,將可對應到ISO/IEC 27001的第4與第6條款;而在ISO/IEC 27701的第6.2到第6.13與第6.15條款中,已經有訂定額外的指引建議,可對應到ISO/IEC 27002中的第5到第16與第18條款。

 

另外,謝君豪也補充兩個建議,是關於導入ISO/IEC 27701時的注意事項,首先他說,若企業沒有BS 10012的基礎,在蒐集、處理、利用這一塊,可能會相對辛苦,其次,他認為如果企業本身ISO/IEC 27001的範圍太小,這時也應認知到一件事,應把認證範圍擴大。

 

呼籲企業進行資安標準驗證時,應符合目的與使用

 

對於國內企業與組織的資安管理現況,BSI認為,還有不少挑戰需要克服。從他們的觀察中,可以看出不少問題。例如,今年是臺灣資安管理法施行第一年,但蒲樹盛表示,他拜訪客戶時,仍有組織高層不知資安法規定,例如,A級單位要有4個專職資安人力;而知道這件事的單位,卻面臨找不到足夠人力的困難。也因此,資安人才在市場上非常缺乏,所以,他也鼓勵年輕的人朝資安領域精進。

 

在資安標準的落實方面,謝君豪也不斷強調,資安不是有做就好,這只是最低基本要求,要做到真的符合「目的」與符合「使用」。

 

例如,企業在導入資安標準並驗證時,有的在第一年會先從研發部門做起,因為他們認為這是公司的命脈,而資訊單位是配合研發,因此要先知道研發的需求,他認為這是很好的觀念。而不該像一些企業是為了驗證而驗證,只以一個機房或小系統為範圍,而拿到證書,就滿足形式上的要求。

 

其實,上述的問題已經持續了許多年。為何仍無法改善?謝君豪表示,現在臺灣企業時常是直接決定,只驗資訊系統或核心系統,但其實這已經落入畫地自限的狀況,因此,他提出建議,企業應從了解所面臨的內外部議題,來訂定適切的推動範圍,他並強調,「實施範圍」不一定要等同於「驗證範圍」,接下來,並透過風險評鑑,來訂定強化方向及優先順序。

 

謝君豪指出,知道風險在哪裡很重要,像是企業必須思考,自身在2020年的前十大資安風險為何?他認為,企業要製作出自己的風險地圖,透過國際的標準,或是適切的方法論,至少將企業最關鍵的10個風險鑑別出來,並透過圖表呈現各風險嚴重性,讓老闆能一看就懂,才能有效推動,從策略、管理與技術等多個層面並進,以有效管控風險。

 

資安治理 ISO27001導入顧問:https://www.issdu.com.tw/service_manage.php?id=20

 

參考數聯資安服務項目:

 

返回